输送机厂家
免费服务热线

Free service

hotline

010-00000000
输送机厂家
热门搜索:
技术资讯
当前位置:首页 > 技术资讯

跟HTTP比起来HTTPS是如何让搜索更安全的

发布时间:2020-03-10 09:58:37 阅读: 来源:输送机厂家

A5交易A5任务 SEO诊断淘宝客 站长团购

百度从2014年开始对外开放了https的访问,并于3月初正式对全网用户进行了https跳转。你或许会问,切换就切换呗,和我有啥关系?我平常用百度还不是照旧顺顺当当的,没感觉到甚么切换。

话说,平常我们呼吸空气也顺顺溜溜的,没有甚么感觉,但要是没有了空气,那就没法愉快的生活了。https对互联网安全的重要性,正如空气对我们人类的重要性一样。百度全站切换到https以后,我们才可以愉快的搜索,愉快的上网。

https究竟是如何实现让我们更加安全呢?让百度技术宅来个深度揭秘:

问题1:https是什么?我有没有用到https?

https是httpoverssl(SecureSocketLayer),简单讲就是http的安全版本,在http的基础上通过传输加密和身份认证保证了传输进程中的安全性。你通常访问的网站大部分都是http的,最简单的方法可以看看网址是以http://开头还是https://开头。

以下几个截图就是chrome,firefox,IE10在使用https时的效果。

注意图中绿色的部份, 我们后面详细说说。

问题2:https为何比http安全?https加密是否是需要我在电脑上安装证书/保存密码?

不带s的http不安全,主要是由于它传输的是明文内容,也不对传输双方进行身份验证。只要在数据传输路径的任何一个环节上,都能看到传输的内容,乃至对其进行修改。例如一篇文章攻下隔壁女生路由器后,我都做了些甚么中,很多攻击的环节,都是通过分析http的内容来进行。而在现实生活中呢,你很有可能泄漏你的论坛高级会员账号/密码,游戏vip账号/密码,隐私的聊天内容,邮件,在线购物信息,等等。实在是太可怕的有木有!

https之所以安全,是由于他利用ssl/tls协议传输。举个简单的例子,电影风语者中,美军发现密码常常被日本窃听和破解,就征召了29名印第安纳瓦霍族人作为译电员,由于这语言只有他们族人懂。即便日本人窃听了电文,但是看不懂内容也没用;想捏造命令也无从下手,修改一些内容的话,印第安人看了,肯定会说看(shen)不(me)懂(gui)。看到这里,你肯定发现了,这是基于两边都有懂这个语言(加密解密规则)的人材行啊,那末我的电脑上需要安装甚么密钥或证书吗?一般情况作为普通用户是不用斟酌这些的,我们有操作系统,浏览器,数学家,安全和网络工程师等等,帮你都做好了,放心的打开阅读器用就好啦。

如果你实在好奇,想知道双方不用相同的密钥如何进行加密的,可以搜索下公钥加密(非对称加密),RSA,DH密钥交换,ssl原理数字证书等关键词。

有朋友会想了,不就是加密吗,我wifi密码都能破,找个工具分分钟就破解了。这个想法可不对,虽然没有绝对的安全,但是可以极大增加破解所需要的本钱,https目前使用的加密方式是需要巨大的计算量(依照目前计算机的计算能力)才可能破解的,你会用世界上最强的超级计算机花费100年(只是一个比喻)去解密,看看100年前隔壁老王在百度上搜甚么吗。

问题3:百度为何要上https?

我们每天会处理用户投诉,比如说:页面出现白页/出现某些奇怪的东西;返回了403的页面;搜索不了东西;搜索url带了小尾巴,页面总要闪几次;页面弹窗广告;搜索个汽车就有人给我打电话推销4s店和保险什么的

各种千奇百怪的情况碰到过的请举手。查来查去,很大一部分缘由是有些坏人在数据的传输进程中修改百度的页面内容,窃听用户的搜索内容。悄悄告知你,https就是能解决这样问题的技术哦。

从方向上来说,HTTPS也是未来的趋势,目前大家使用的HTTP还是1.1/1.0版本的,新的HTTP2.0版本的标准已发布了。标准中触及了加密的规范,虽然标准中没有强迫使用,但是已有很多浏览器实现宣称他们只会支持基于加密连接的HTTP2.0(。

问题4:https不就是在http后面加个s,很难么?

难,又不难。

它包括证书,卸载,流量转发,负载均衡,页面适配,浏览器适配,refer传递等等等等。反正我指头肯定不足数。

对一个超小型个人站点来讲,技术宅1天就能搞定从申请证书到改造完成。如果是从零开始建设,会更容易。

但是对百度搜索这类大胖纸来讲,可就难了。

1,它一开始并不是为https设计的

2,内容丰富(内容本身的表现形式很多:图片,视频,flash,form等等),种类丰富(页面上除自然结果,有视频,图片,地图,贴吧,百科,第三方的内容,app等等)。

3,数据来源复杂,有几十个内部产品线的内容,几百个域名,不计其数个开发者的内容

4,百度在全国,乃至世界范围都有很多idc和cdn节点,都得覆盖到。

5,还不能因此拖慢了百度的速度(国内使用https的银行,在线交易的站点,有没有觉得很慢?)

6,上https本来就是为了更好的体验,可不能致使大家使用不稳定。

Google部署https花费了1-2年,13年将证书从1024位升级到2048位花了3个月。百度也是去年就开放了入口和小流量,但是今年3月才进行全量上线,可以想像整体的复杂性。

问题5:如何看待百度搜索支持全站https?

国外的几个大型站点都https化了,这是未来互联网的趋势(有兴趣的同学可以搜索下http/2)。

对百度本身来讲,https能够保护用户体验,减少劫持/隐私泄漏对用户的伤害。

很多人会有疑惑,我没有被劫持,百度上https有甚么作用,反而让我变慢了一些。从我们的第一手数据可以看到,劫持的影响正愈来愈大,在法制不健全的环境下,它被当做一个产业,很多公司以它为生,很多以此创业的团队还拿到了风投。等它真正伤害到你的时候,你可能又会问我们为何不做些甚么。所以,我们宁愿早一些去面对它。

https在国内的大型站点目前还只用在部份账户的登陆和支付等环节。百度也是国内第一个全站https的大型站点,它的用户非常多,流量也很大。百度能够上线https会打消大家的疑虑,对其他国内的站点是很好的示范,这个带头作用会显著加速国内互联网https的进程,有助于中国互联网的网络安全建设。百度作为搜索引擎,是流量的入口和分发的渠道,后续如果对https的站点内容的抓取,标记,权值倾斜,那末更能引导互联网的网站向https进行迁移。

问题6:https慢不慢?

沉重的计算和屡次交互天然的影响了https的访问速度。。如果甚么优化都不做,https会明显慢很多。在百度已进行过很多速度优化的条件下,如果站点本身已做过常规优化,但是不针对https做优化,这种情况下我们实测的结果是0.2-0.4秒耗时的增加。如果是没有优化过的站点,慢1秒都不是梦。至于现在慢不慢呢,大家已体验了这么多天了,有感觉吗?

答案:A慢死了,你们在做啥?B有些慢啊C还行,基本无感D啥,我已用了https了?

是否是选的C或D?喂喂,选A的那位你打开别的网站慢么,之前没有上HTTPS的时候慢么。。。隔壁老王在蹭你网呢。

所以,不是慢,是没有优化。

问题7:https耗性能吗?

答案是,握手的时候耗,建好连接以后就不太耗了。依照目前加密强度的计算开消,服务器支持握手性能会下落6-8倍,但是如果建立好连接以后,服务器就几近可能撑住打满网卡的https流量了。所以连接复用率的提升和计算性能的优化都是重点。

问题8:劫持有些什么样的途经?

你的电脑,你设置的dns,你的浏览器,你用的网络,都有可能被劫持。

简单和大家介绍下运营商的内容劫持是如何进行的,运营商会分析你的网络要求,它可以先于网站回包,也能修改数据包的内容。所以它可以让你跳转一次,在网址上加上小尾巴,也能在你访问的页面弹出小广告。

问题9:https解决了所有劫持问题吗?

俗语说有终有始,我们来讲1说文章开始说的浏览器上的绿色标记。它标志着这个安全连接可信赖的级别。绿色通常是好的,黄色则是说明有些不安全,例如在https的页面中加载了http的资源,这样http的资源还是有被劫持的风险。

其实客户端,局域网的风险也很大,歹意插件,木马可以做很多事情,你使用的路由器,DNS也比较脆弱。如果某个大型网站被标记为了红色,那你就更要当心了(固然也可能是某个猴子忘记了续费替换证书,致使证书过期了),你有可能遭受了ssl劫持(中间人攻击的一种),特别是遇到如下图提示的时候(访问一些自己签名的站点也会有类似的提示)。中间人攻击还有其他种类的,比如代理你的通讯让你退化http,还可以利用注入根证书,可以让你浏览器还是绿色的标记,就问你怕不怕?

还是那句话,没有绝对的安全,但是我们可以尽可能下降风险。

https能够在绝大部分情况下保证互联网访问数据传输的安全,这是目前我们力所能及的工作。

问题10:我应当如何更爽更快切换到https?

如此强悍有用的https,我也想体验,在安全的互联网世界中翱翔,那末我该怎样做呢?

实际上你不需要动手,百度的攻城狮已体贴的帮你做到了。现在访问百度试试,我们已自动切换到https了,再也不用担心隐私泄漏的问题,赶忙来体验吧!

中国铁建投资集团有限公司

中科星图股份有限公司

中寰卫星导航通信有限公司